El virus Wannacry, que ha infectado ordenadores en todo el mundo y ha paralizado empresas, organismos y servicios públicos en la última semana, no es más que el anticipo de lo que ha de venir, insisten los expertos en seguridad informática. El balance de la infección a nivel mundial ha sido catastrófico: unos 230.000 equipos afectados en 179 países, de los que 1.300 estaban en España, según datos del Instituto Nacional de Ciberseguridad (Incibe). Son cifras que representan el doble de lo que consiguió el Cryptolocker en cuatro años de vida. Las empresas de antivirus alertan sobre los nuevos programas que intentan replicar la gran difusión del Wannacry, pero los expertos en ciberseguridad advierten sobre amenazas aún peores y latentes, que además pueden activarse en cualquier momento.

«Wannacry no ha sido un evento aislado. Es uno de más de las secuencias de ataques informáticos que se producen todos los días y que crecen de forma exponencial. Pero habrá otros y serán peores», vaticina Jaume Abella, director del máster en ciberseguridad de La Salle. «Este ha creado mucha alarma porque combinaba dos técnicas muy dañinas: la capacidad de autorréplica de los gusanos, que no se veía desde hace años, y la encriptación de los ransomware, que cifran los archivos y se difunden por correo electrónico. Pero técnicas hay muchas, y hay gente muy experta que va por delante de las empresas de seguridad», señala.

EL ORIGEN // Ya hay cierto consenso en que el origen del virus es un exploit (programas basados en fallos de otros programas) llamado EternalBlue, que formaba parte de un kit de desarrollo de nombre Fuzzbunch, que fue robado a la NSA por el grupo de hackers Equation Group y difundido por otro, Shadow Brokers. Su potencial para espiar ordenadores y redes fue probado por muchos informáticos para conocer sus efectos, uno de estos tests se considera el origen del virus Wannacry.

«Un caso como el del Wannacry puede volver a pasar porque aprovecha vulnerabilidades que no han sido arregladas. Es fácil que alguien tome el exploit y lo convierta en un virus latente que pueda ser utilizado cuando los delincuentes quieran. Hay que instalar las actualizaciones tan pronto se pueda, porque se pueden instalar programas que espíen la actividad de la compañía, y eso es muy peligroso», apunta Helena Rifà, directora del máster en ciberseguridad de la UOC.

«Con EternalBlue los atacantes han podido entrar en los ordenadores sin hacer mucho ruido y robar información, poner troyanos, controlar nuevos objetivos… Lo más preocupante es que, pese a los parches publicados por Microsoft, habrá PCs con estos agujeros durante años», advierte Carles Mateu, profesor de redes.

Hasta Microsoft, cuyo sistema operativo, Windows, ha sido el objeto del ataque, ha advertido a los gobiernos sobre los riesgos de «almacenar vulnerabilidades», y ha recordado cómo han acabado filtradas por Wikileaks u otros grupos. «Es un escenario equivalente a que hubiesen robado misiles Tomahawk al Ejército de EEUU», asegura Brad Smith, el presidente de asuntos legales de Microsoft en un post.

Al menos dos virus se disputan a día de hoy la sucesión de Wannacry, porque utilizan la misma vulnerabilidad para expandirse, aunque mejoran dos de sus fallos: el sistema de cobros, que no era muy fino, según los expertos, e impedía comprobar quién había pagado, y el cifrado, que se basaba en el estándar AES-128. «Parece extraño que su motivación fuera económica porque el sistema de pagos era muy rudimentario», señala Helena Rifà. «Es como si su autor no supiera mucho, lo que explicaría que lo hayan frenado tan rápido», afirma.

Adylkuzz también usa, como Wannacry, el sistema de archivos SMB, pero en este caso para crear una red de ordenadores (botnet) que generan dinero virtual (una moneda tipo bitcoin llamada monero) del que luego se apropia. Además es capaz de interceptar el paso de otros troyanos para que no ocupen la máquina.

El otro candidato es Uiwix, que sofistica bastante los fallos de Wannacry, según su descubridores, la empresa de antivirus Trend Micro. El malware, al parecer de origen chino, aprovecha el fallo en SMB para encriptar archivos y pedir un rescate en bitcoins, pero no se autorreplica ni se instala como programa, por lo que pasa mucho más desapercibido para los antivirus.

Entre las próximas amenazas también se habla de Terror Exploit Kit, un conjunto de herramientas que se han puesto a la venta en la Deep Web para explotar otras vulnerabilidades.